Angenommen, jemand weiß, wie die WndProc eines (möglicherweise nicht einmal sichtbaren) Fensters auf den Erhalt einer Nachricht 'aus Prinzip' reagiert. Möglicherweise verschickt sie über einen Socket Daten an einen erfreuten Empfänger. Nur als Beispiel. Klingt doch irgendwie unangenehm? Klingt zwar vielleicht unglaublich, aber dieser vorzeichenlose Integer kann ziemlich gefährlich werden, wenn er beim 'falschen' Empfänger (=der falschen WndProc) landet.
Insofern sind es durchaus die Nachrichten, die Probleme bereiten könnten.
Nebenbei:
1. Axiom: Kein OS ohne C-Runtime.
2. Axiom: Die C-Runtime ist allmächtig.
Conclusio: Jedes OS ist unsicher.